Como ITIL-COBIT integra com GRC, ESG, Agile e mais frameworks

Dizem que o agro é tech e o papa é pop porém quem realmente é tudo e mais um pouquinho é o ITIL que, em conjunto com seu companheiro alto nível COBIT, transformam-se em reinado absoluto no que diz respeito a governança em ecossistemas tecnológicos. É fato que, uma vez abstraído o acrônimo IT que acompanha parte do nome destes frameworks, é possível sua utilização em outros contextos mais generalistas e non-tech, possibilidade esta 100% implementável em negócios de todos os tipos, portes e maturidades. Bem-vindo ao universo dos frameworks mais acompláveis, colaborativos, bem-escritos e historicamente consumidos em todo o planeta.

GOVERNANÇA

Geococcyx Californianus

6/1/20248 min ler

Se ainda acredita que ITIL não tem nada a ver com Segurança da Informação, desafiamos a ler com atenção este post e, durante a leitura, pedimos que considerem todas as obrigações, dificuldades e desafios enfrentados diariamente pelas corporações. Os fundamentos do ITIL são válidos e fortemente utilizados desde seu rascunho inaugural em 1986 (feito pelo CCTA UK - Central Computer and Telecommunications Agency – United Kingdom para suprir demandas do governo local), até sua última versão 4.0 em uso.

Esta é uma das razões que nos faz acreditar que o leitor ficará impressionado com a capacidade, alcance, flexibilidade e sinergia do ITILv4 com diversos outros frameworks mais generalistas e outras estruturas com vieses mais corporativo. Observe que essas estruturas são organizadas a partir de aéreas de conhecimento (KAs) dentro de um corpo maior de conhecimento (BOK). O corpo de conhecimento (BOK) nada mais é que uma maneira formal e padronizada de se referir às competências essenciais, controles e habilidades exigidas para endereçar um determinado assunto de complexidade reconhecida.

Utiliza ITIL, COBIT ou similar atualmente? Se sim, vai perceber que seu caminho para abordagens mais corporativas (alto nível como GRC, OCEG, TOGAF, SAF, COSO, ...) tem, aproximadamente, 2/3 dos controles, indicadores e contextos completamente sinérgicos, reutilizáveis e compatíveis.

Mas, ITIL ainda combina com agilidade e nosso mundo transvestido à ESG (roupagem nova, mas com conceitos-core original e primariamente elencados em 1992 durante a Rio/Eco92, depois em 2002 via OCEG, 2012 com ONU-ODS e, aproximadamente ressurgindo das cinzas em 2022 com novo nome – para conceitos bem conhecidos)? Antes de avançarmos nesta jornada sobre ITIL (um dos principais frameworks "de facto" mundialmente consumido e utilizado há décadas), vamos avaliar as principais mudanças ocorridas na última versão.

  • V4 surge no primeiro trimestre de 2019, após 11 anos sem grandes mudanças, tanto na estabilidade como nas suas entregas consistentes - sem grandes mudanças justamente porque não eram necessárias.

  • Contempla Transformação Digital para Indústria 4.0, embora o tema esteja dentro do arcabouço de abordagens ITIL, é outro assunto repaginado comercialmente e bebendo fortemente dos conceitos mais antigos e modernamente empregados.

  • O core e os fundamentos continuam com baixa atualização, funcionando muito bem e racionalmente organizados. Depois de 11 anos sem atualização (e 45 anos da fundamentação base via MIT Framework – Management Information System), é sim um indicador gigantesco de maturidade de toda a estrutura.

  • Pesquisas confirmam ITIL como a melhor prática para o setor (que embora tenha IT no nome, pode ser usado de forma abstrata para non-IT sem problemas – com pequenos ajustes). Essa atualização incluirá orientações práticas sobre uso conjunto com práticas de DevOps, Agile e Lean. Embora a sobreposição e uso conjunto sempre tenha sido possível (sem overhead administrativo quando bem feita e realizada por profissional com conhecimento no tema), existia um certo desconhecimento de onde começa um e termina o outro, além da polêmica de agilidade que muitos não entendem/entendiam que o ponto era apenas questão de ajuste no processo de dimensionamento das entregas e não no sistema todo.

  • A grande maioria das ferramentas de mercado para gestão de ambientes, indicadores, inventariado, mudanças, projetos e a própria base ITSM incorporam ITIL como referência de boa gestão e controle de suas plataformas. Apenas como referência a ServiceNow (muito bem estabelecida hoje, embora entregue o mesmo que o HP OpenView oferecia em 2010 com customização e facilidade de integração muito maior), BMC, a ex-CA, IBM, HP, SAP, GLPI, PinkElephant cresceram muito justamente por seguirem à risca esse conceito padronizado de gestão e unificação dentro de suas plataformas.

  • Nesta última versão, ajuda muito na integração, na transição ou na transformação para a Governança Corporativa via COBIT, COSO, ISO, TOGAF, IBGC, BABok, ESG, enfim, qualquer outro framework de governança corporativa, de TI, de serviços, de produtos, de mundo, de dados ou puramente de negócios. Não acredita? Faça o teste de sobreposição de “objetivos de controles” com seu modelo em uso. Para lhes ajudar, a OmniSec fez um de-para ITIL-COBIT de forma a ilustrar essa sinergia.

Assim, em 2019 ITILv4 ressurgiu modernizado e oferecendo uma nova forma de contextualizar, cocriar e fornecer serviços, de forma muito mais adaptável, ágil e totalmente transparente. O conceito de “ciclo de vida do serviço” descrito na V3, que sugere uma sequência de estágios e processos mais formais do “ciclo de vida do serviço”, desde a sua concepção até sua destruição, sai de cena e entra um fluxo de valor mais flexível baseado no Service Value System (Sistema de Valor de Serviço).

Explicaremos parte deste robusto modelo conceitual, o qual não se concentra apenas em processos, considerando outros componentes vitais para o gerenciamento de serviços e respectiva entrega de valor, apoiando-se nos seguintes elementos-chave:

Sistema de Valor de Serviço (SVS) É a base na qual o ITILv4 foi remodelada. A combinação desse fluxo e componente, visa transformar a "oportunidade/demanda" (lado esquerdo) em entrega de "valor" (lado direito). O SDS ajuda o trabalho conjunto, mas também encoraja a criatividade e o trabalho inicial em silos autônomos (modificado na V4), numa espécie de modelo de autonomia imediata com responsabilidade bem definida.

Oportunidade e demanda – Oportunidade são novas possibilidades ao ponto que demandas possuem mais proximidade com o atendimento via atividades pré-existentes.

Cadeia de Valor – A cadeia de valor de serviço (imagem) substituiu os 5 estágios do ciclo de vida dos serviços da versão anterior que foram melhorados. Não é necessariamente linear (depende do estágio, sentido, loops e feedbacks) e “Produtos & Serviços” não é atividade, mas sim um resultado/saída.

Valor – É construir ou entregar aquilo que o teu cliente realmente solicitou e precisa, de acordo com o juízo de valor dele. Aquela entrega que está disponível onde, quando, como e do jeito que o solicitante esperava. Focar em “valor” ajuda a aproximar as necessidades e priorizar entregas mais relevantes.

Princípios Orientadores Baseado no tão bem escrito lançamento de 2016, ITIL Practitioner Guidance, passaram a incorporar uma das seções mais importantes da nova versão. De forma resumida, são recomendações universais e atemporais de como a organização deve (o quanto antes e com os recursos que estiverem disponíveis momentaneamente) iniciar o trabalho com a metodologia. Quais são essas recomendações?

1. Foco no valor

2. Começar onde estiver (o quanto antes)

3. Progrida iterativamente via feedback

4. Colabore e promova a visibilidade

5. Pense e trabalhe de forma holística

6. Mantenha simples, prático, otimize e automatize

Governança Um dos componentes do SDS responsável por governar, dar a direção, prover transparência e ajudar com o controle de todo o ecossistema, fortemente alinhado com a governança da companhia (independente de quais modelos sua cia utiliza para Governança) e os princípios orientadores do SVS.

Práticas – São as evoluções dos processos da ITILv3 (estes, evolução da V2, inclusive boa parte mantendo os nomes originais - abaixo indicados com *), neste momento, menos orientadas a processos e mais orientadas ao fluxo ou a sua entrega de valor. Um conjunto de recursos utilizados para fazer um trabalho, avançar de forma organizada rumo a uma meta ou atingir um objetivo. São 34 práticas com vários tipos de orientações, com referências, termos e conceitos-chave, fatores de sucesso, atividades-chave, correlacionamento, objetos de informação etc.

Na imagem anterior é possível observar a influência dos fatores internos e externos que direta e indiretamente impactam no dia a dia e nas decisões da organização (parte deles sob seu controle e parte fora do seu controle). Observe que as organizações não são órgãos isolados e dependem de outros elementos além das suas fronteiras (necessita de abordagem mais intimista com orientação externa, social e outros fatores). Ao pessoal de ESG, alguma coincidência forte aqui?

Melhoria Contínua – Embora preferimos considerar "melhoria progressiva" (porque nem sempre você terá continuidade pois haverá momentos de inexistência de adequações ou mesmo momentos de não-ideias), é o comportamento que a organização espera que esteja incorporado não somente na cabeça de cada colaborador como também (e muito mais importante) na cultura das pessoas, nos processos de co-criação e na identidade/espírito de toda a companhia.

Observe que o modelo evoluiu durante décadas, sofreu interferências, foi influenciado (veja lançamentos em destaque na timeline abaixo) e se espelhou em outros bons padrões complementares ao longo do seu tempo de existência – sem perder sua essência.

Essa influência (destaque em verde) de outras metodologias ao longo do tempo fez muito bem ao ITIL, permitindo atestar, simular e experimentar a integração com o que havia de melhor em outros modelos e, quando realmente era confirmando essa sinergia, os aprendizados e adequações eram integrados.

É importante ter em mente que ITIL é um sistema, e não disciplinas isoladas. Se você usa um domínio para atender uma necessidade pontual da sua companhia de forma segregada (Change Mgmt por exemplo), vai sim se beneficiar da estrutura da biblioteca, mas não tem como dizer que pratica ITIL de forma completa, eficaz e sinérgica para sua empresa. Outro exemplo? Já ouviu falar do "Sistema Anglo de Ensino"? Pois é, se sua escola adota apenas as apostilas, o aluno não está se beneficiando do sistema como um todo (que vai desde a catraca da escola, programação de finais de semana com a família e aulas extracurriculares), o que inevitavelmente impactará na redução dos seus resultados quando comparado com outras entidades cuja aplicabilidade do método é completa.

Mas então, qual a magia do modelo e como utilizá-lo da forma mais eficaz e eficiente possível? Independentemente da versão que você for utilizar (V3, V4 ou futura – ainda existem diversas ferramentas e processos operando muito bem em V3), é necessário que sejam avaliados quais domínios se encaixam na operação da sua companhia. Pode ser que haja necessidade de todos ou apenas um subconjunto. A única coisa que é possível atestar é que, entrando versão e saindo versão, há domínios que terão sempre grande relevância e com certeza farão parte do seu arranjo independente do tipo/porte da sua empresa. Se sua empresa tem interesse em melhorar os processos, indicadores e/ou se beneficiar do ecossistema ITIL, considere procurar a OmniSec que podemos ajudar. Se há interesse em receber futuramente um treinamento gratuito sobre o core, os fundamentos e princípios ITIL, deixe-nos saber através dos comentários deste post e, havendo quórum, ofereceremos futuramente o treinamento sem custos.

Esperamos que tenham apreciado a leitura e, cuidado com a autonomia em excesso sem responsabilidade. Um processo desorganizado ou que nem deveria existir, pode ser muito mais custoso, demorado e complexo do que a própria inexistência de processos.

E neste momento, qual sua opinião? Acreditam que o ITIL pode ajudar a melhor organizar processos ágeis ou colaborar com outros frameworks de governança, do mundo corporativo, de Segurança da Informação e outros “objetivos de controle” mais universais/globais? O autor tem certeza e parece que o Spotify também.

E para finalizamos, a correlação (não oficial dos institutos - em alguns casos não deve ser considerado exatamente 1:1) apenas para demonstrar visualmente a sinergia e semelhanças COBIT e ITIL. Em conjunto com as informações e referências deste post, acreditamos que você e sua empresa terá subsídios suficientes para melhores reuniões, projetos e estruturações sobre o tema. Boa sorte!